En bref

  • Le site officiel de CPUID a distribué des versions piégées de CPU-Z et HWMonitor pendant environ 6 heures les 9 et 10 avril 2026
  • Les attaquants ont compromis une API secondaire pour rediriger les liens de téléchargement vers un installeur malveillant hébergé sur Cloudflare R2
  • Action requise : vérifier l'intégrité des exécutables téléchargés durant cette fenêtre et scanner les postes concernés

Les faits

Entre le 9 et le 10 avril 2026, des attaquants ont compromis une API secondaire du projet CPUID, éditeur des outils de diagnostic système CPU-Z et HWMonitor utilisés par des millions de techniciens et administrateurs dans le monde. L'attaque a permis de modifier les liens de téléchargement affichés sur le site officiel cpuid.com, redirigeant aléatoirement les visiteurs vers des exécutables malveillants hébergés sur le service de stockage Cloudflare R2. L'attaque a duré environ six heures, profitant de l'absence du développeur principal en congé. Selon BleepingComputer, les fichiers originaux signés n'ont pas été compromis directement — seuls les liens de distribution ont été altérés.

Les utilisateurs ayant téléchargé l'un des deux outils durant cette fenêtre ont reçu un fichier nommé HWiNFO_Monitor_Setup, un installeur Inno Setup en langue russe déployant un toolkit d'accès distant complet. Ce choix de nom, emprunté à un outil tiers légitime (HWiNFO), visait à semer la confusion et retarder la détection. CPUID a confirmé avoir corrigé le problème et rétabli les versions officielles propres pour les deux logiciels. Cette attaque s'inscrit dans une série d'attaques supply chain récentes ciblant les canaux de distribution logicielle plutôt que le code source lui-même.

Impact et exposition

CPU-Z et HWMonitor sont des outils standards dans les environnements de maintenance informatique, souvent utilisés par les administrateurs système, les équipes support et les techniciens en atelier. Tout poste ayant exécuté l'installeur malveillant est potentiellement compromis avec un accès distant complet pour les attaquants. La fenêtre d'exposition de 6 heures limite le nombre de victimes, mais le profil des utilisateurs de ces outils — souvent des postes techniques avec des privilèges élevés — amplifie considérablement le risque. Les environnements d'entreprise utilisant des déploiements automatisés depuis le site officiel sont particulièrement exposés. Le vecteur d'attaque rappelle les techniques de compromission de la supply chain logicielle de plus en plus fréquentes en 2026.

Recommandations

  • Vérifier immédiatement si CPU-Z ou HWMonitor ont été téléchargés entre le 9 et le 10 avril 2026 — contrôler les hash SHA-256 des installeurs contre les signatures officielles CPUID
  • Scanner en profondeur tout poste ayant exécuté un fichier nommé HWiNFO_Monitor_Setup provenant de cpuid.com — rechercher les indicateurs de RAT (connexions sortantes inhabituelles, services inconnus)
  • Mettre en place une vérification systématique des signatures numériques avant déploiement d'outils téléchargés, même depuis des sources officielles
  • Considérer l'hébergement local des outils de diagnostic approuvés plutôt que le téléchargement direct depuis les sites éditeurs, comme recommandé dans les bonnes pratiques anti-supply chain

Alerte critique

Si vos équipes techniques ont téléchargé CPU-Z ou HWMonitor depuis le site officiel entre le 9 et le 10 avril 2026, considérez les postes concernés comme potentiellement compromis. Lancez une analyse forensique immédiate et changez les credentials accessibles depuis ces machines.

Comment savoir si mon téléchargement de CPU-Z est compromis ?

Vérifiez le nom du fichier téléchargé : les versions malveillantes se présentent sous le nom HWiNFO_Monitor_Setup avec un installeur en russe, ce qui est anormal pour CPUID. Comparez le hash SHA-256 de votre fichier avec ceux publiés sur le site CPUID après correction. Les versions actuellement en ligne sont propres et sûres. Si vous avez exécuté le fichier suspect, lancez immédiatement un scan antivirus complet et vérifiez les connexions réseau sortantes de votre machine.

Les versions actuelles de CPU-Z et HWMonitor sont-elles sûres ?

Oui. CPUID a confirmé que les fichiers signés originaux n'ont jamais été compromis — seuls les liens de téléchargement ont été détournés. Les versions actuellement disponibles sur le site officiel sont les versions légitimes. Néanmoins, vérifiez systématiquement la signature numérique des exécutables avant de les déployer, comme pour tout logiciel téléchargé depuis Internet.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit